Roles de las tres líneas de defensa para la seguridad de la información y gobierno

Mientras que las tres líneas de defensa que cubren las funciones de aseguramiento, gobierno, riesgo, cumplimiento, seguridad de la información y la ciberseguridad pueden todos estar trabajando de una manera u otra en la seguridad de la información y gobierno, se puede examinar los objetivos, funciones y actividades de estas funciones para explorar maneras para optimizar los resultados. Las salidas optimizadas significan que los resultados combinados de las distintas partes que trabajan en la seguridad de la información se maximizan, lo que permite que los recursos se desplieguen mejor con una mayor productividad al reducir la duplicación.

Roles y responsabilidades de varias funciones

Las organizaciones apuntan a lograr sus objetivos mientras administran el riesgo dentro de sus apetitos de riesgo. Una buena estructura de gobierno para gestionar el riesgo es establecer tres líneas de defensa. En resumen, la primera línea de defensa es la función que posee y administra el riesgo. Dentro de la primera línea de defensa, las empresas pueden establecer funciones de control (por ejemplo, control de TI, que depende del departamento de TI) para facilitar la gestión del riesgo. La segunda línea de defensa es la función de control independiente (por ejemplo, riesgo de TI, cumplimiento de TI) que supervisa el riesgo y supervisa los controles de la primera línea de defensa. Puede desafiar la efectividad de los controles y la gestión del riesgo en toda la organización. La tercera línea de defensa es la auditoría interna, que proporciona una garantía independiente. La figura 1 proporciona ejemplos de las funciones bajo las tres líneas de defensa.

Varias funciones de negocios apuntan a asegurar que las organizaciones manejen el riesgo dentro de sus apetitos de riesgo. En particular, el gobierno de TI proporciona la consistencia, los procesos, los estándares y la repetibilidad necesarios para las operaciones de TI efectivas mientras se monitorea el presupuesto y el cumplimiento de los requisitos regulatorios y/o de la organización. La gestión de riesgos de TI debe funcionar como parte del marco de gestión de riesgos de la empresa y abordar diversos tipos de riesgos y los desafíos y oportunidades que presenta el riesgo. Ayuda a enfocar las inversiones de gobierno de TI, seguridad y privacidad en las áreas más críticas para el logro de los objetivos de la organización. La seguridad de la información tiene como objetivo proteger los datos y los sistemas de información del acceso, la manipulación, la modificación y la destrucción inapropiados, garantizando así la confidencialidad, la integridad y la disponibilidad de los sistemas/datos. La seguridad cibernética, que incluye tecnología, procesos, políticas y personas, se centra en el uso de impulsores de negocios para guiar las actividades de seguridad, al tiempo que garantiza que los factores de riesgo de ciberseguridad se incluyan en los procesos de gestión de riesgos de la organización.¹

La función de aseguramiento es la auditoría interna, cuya misión se puede definir para mejorar y proteger el valor de la organización al proporcionar una garantía objetiva y basada en el riesgo para evaluar la eficacia de los procesos de gobernanza, gestión de riesgos y control.²

Estructura de organización de varias funciones

Diferentes equipos se pueden organizar de varias maneras, como se muestra en las figuras 2 y 3. La figura 2 ilustra cómo los equipos de riesgos de TI, seguridad de la información y ciberseguridad se pueden organizar de forma jerárquica. Bajo esta estructura organizacional, hay menos posibilidades de que sus tareas/actividades se dupliquen porque la seguridad cibernética se encuentra dentro de la seguridad de la información, lo que significa que este último es plenamente consciente de las actividades y el rol de los primeros. La figura 3, por otro lado, es un ejemplo de equipos de seguridad informática, seguridad de la información y ciberseguridad organizados en una estructura plana, como contrapartes entre sí. Con este tipo de estructura organizativa, hay una mayor probabilidad de que sus actividades se superpongan porque los diferentes equipos pueden no estar al tanto de lo que hacen los demás. Por ejemplo, el equipo de seguridad de la información puede revisar la configuración de seguridad de la información y los controles de todos los sistemas operativos, mientras que el equipo de ciberseguridad puede revisar la configuración y los controles del servidor web que pueden cubrir el mismo servidor. Otro ejemplo puede ser la seguridad de la información como responsable de la planificación de recuperación de desastres o la gestión del nivel de servicio, mientras que el equipo de ciberseguridad es responsable de abordar el riesgo de denegación de servicio (DoS); mientras que la recuperación de desastres y la administración del nivel de servicio son controles para abordar el riesgo de DoS.

Actividades de varias funciones y/o tres líneas de defensa

Para lograr el objetivo final de la organización de administrar el riesgo (por ejemplo, riesgo de información y tecnología) dentro de su apetito de riesgo, varias funciones comerciales y/o las tres líneas de defensa deben realizar actividades tales como recopilación de información, evaluación de riesgos, revisiones, análisis e informes y monitoreo del riesgo que puede ser común entre las tres líneas. Una forma de descubrir estos puntos en común es a través de la comunicación frecuente, lo que facilita el intercambio de información. Para facilitar la comunicación y la discusión del riesgo dentro de una organización, las diferentes funciones comerciales pueden usar el mismo conjunto de categorías de riesgo y taxonomía.

Intercambio de entradas

Diversas funciones comerciales que trabajan con riesgo de TI pueden compartir información interna útil como información de origen (por ejemplo, datos de transacciones), información de riesgo (por ejemplo, tendencias o estadísticas como porcentaje de disponibilidad de aplicaciones web) y datos de pérdidas internas (por ejemplo, incidentes de seguridad TI incluidos detalles y/o naturaleza de los incidentes). Mediante el intercambio de información interna, las funciones comerciales pueden cumplir sus funciones mediante el análisis respectivo, la evaluación y el monitoreo de riesgos, y la planificación de revisión de control (por ejemplo, cumplimiento o planificación de auditoría).

Además, la información se puede compartir dentro de la industria a través de una base de datos de pérdidas externa, al igual que ORX almacena datos de pérdidas para la industria bancaria y de seguros. Mediante el intercambio de información de riesgos externos, varias funciones de negocios pueden estar mejor informadas sobre cómo detectar y prevenir riesgos similares. Por ejemplo, en 2016, se realizó una solicitud de transferencia de dinero no autorizada a través del Bangladesh Bank,³ detectada por uno de los bancos de enrutamiento que marcó la transacción para su posterior revisión debido únicamente a la palabra mal escrita “fandation”, que dio lugar a la interrupción de la transferencia.

La información también se puede compartir dentro de un país. Por ejemplo, Cyber Security Information Sharing Partnership (CiSP)⁴ del Reino Unido es una iniciativa conjunta industria/gobierno creada para intercambiar información sobre amenazas cibernéticas en tiempo real en un entorno seguro, confidencial y dinámico, aumentar la conciencia situacional y reducir el impacto en las organizaciones del Reino Unido. La información también se puede compartir entre países. Por ejemplo, existe un intercambio internacional como el Equipo de Respuesta a Emergencias Informáticas de Asia Pacífico (APCERT) para alentar y apoyar la cooperación entre CERT nacionales en la región Asia Pacífico (APAC). APCERT mantiene una red confiable de expertos en seguridad informática en la región APAC para mejorar la conciencia y competencia de la región en relación con incidentes de seguridad informática.⁵

Intercambio de procesamiento

Además de compartir las entradas, el procesamiento también se puede compartir. Las diferentes funciones pueden estar usando herramientas para desarrollar medidas de monitoreo con fines preventivos y/o detectives. Compartir estas herramientas puede reducir la duplicación de trabajo entre varios equipos. Por ejemplo, la primera o segunda línea de defensa puede adoptar regtech (una aplicación de tecnología para garantizar el cumplimiento de los últimos requisitos de los reguladores y/o la empresa) o utilizar el aprendizaje automático para detectar ataques distribuidos de DoS (DDoS) basados en la detección de patrones pasados similares de DDoS. Las herramientas desarrolladas por la primera línea pueden ser usadas por la segunda línea y viceversa. La auditoría interna puede desarrollar scripts automatizados para realizar pruebas o auditorías continuas (por ejemplo, el uso de robots para ir a los sitios web de los proveedores de servicios para verificar si la organización utiliza los últimos parches del sistema o las firmas de virus), que también pueden ser utilizados por la primera o segunda línea de defensa para monitoreo continuo.

El intercambio de salidas

Los resultados de las revisiones realizadas por una de las partes pueden ser compartidos. Por ejemplo, la primera línea de defensa puede llevar a cabo un autocontrol de la adhesión a las directrices de banca electrónica de los reguladores de Hong Kong (Asociación Monetaria de Hong Kong) para la gestión del cumplimiento; la segunda línea de defensa puede usar este autocontrol para informes regulatorios.

Otro ejemplo es la función de gobierno. La segunda y tercera líneas de defensa pueden usar los informes de excepción de la primera línea y/o los resultados de la revisión de control de terceros (por ejemplo, regulador o auditor externo) para la identificación de problemas sistémicos. La tercera línea también puede usar los resultados de la revisión de control de primera o segunda línea para evaluar la efectividad de la primera y segunda línea de defensa.

Trabajo de la función de aseguramiento

Si bien las revisiones realizadas por la función de aseguramiento pueden ser similares a las realizadas por la primera o segunda línea de defensa, solo el departamento de auditoría interna o los proveedores de servicios externos pueden proporcionar la garantía requerida porque son funcionalmente independientes del negocio y tienen líneas de notificación y un mandato que difiere de los de la primera y segunda línea de defensa. Por lo tanto, los equipos de auditoría deben realizar cierto trabajo para evaluar la eficacia de los procesos de gobernanza, gestión de riesgos y control.

Hay varias revisiones que pueden ser realizadas por los equipos de auditoría. Si los equipos de auditoría realizan un nuevo rendimiento, no es económico porque duplica los esfuerzos al volver a realizar un control, como la extracción de correos electrónicos muestreados para identificar la información de identificación personal (PII) de los clientes no cifrados o verificar independientemente la precisión del procesamiento por parte del solicitud de la compañía Incluso si el equipo de auditoría vuelve a realizar un control, como el control de la aplicación, durante el primer año, la auditoría puede reducir el extenso trabajo de rendimiento de control en un año posterior (lo que ahorra tiempo y esfuerzo al lograr la seguridad deseada) al realizar otras pruebas como controles de gestión de cambios o una verificación de la última fecha de cambio para ver si se ha aplicado algún cambio desde la última auditoría, cuando la prueba de reejecución se realizó para confirmar el procesamiento preciso de la aplicación de la compañía.

La auditoría también puede realizar auditorías continuas para brindar seguridad de manera más oportuna, en función de una mayor población de datos que se está probando. Sin embargo, el alcance de la auditoría continua se puede reducir si la administración implementa un monitoreo continuo similar y efectivo. Existe una relación inversa entre la adecuación de las actividades de supervisión y de gestión de riesgos de la administración y la medida en que los auditores deben realizar pruebas detalladas de los controles y la evaluación del riesgo. El enfoque de la función de auditoría y la cantidad de la auditoría continua depende del grado en que la administración ha implementado un monitoreo⁶ continuo y su efectividad.

Asignación económica de recursos

Si una función comercial carece de los recursos para realizar las tareas requeridas, puede considerar obtener los recursos internamente. Por ejemplo, las pruebas de la ley Sarbanes-Oxley (SOX) de TI pueden realizarse con recursos internos como el equipo interno de auditoría/cumplimiento/riesgo, dependiendo de qué equipo tenga los recursos necesarios, ya que todas las funciones cumplen los requisitos para realizar pruebas SOX.

Para las revisiones ordenadas por el regulador que requieren una parte independiente para llevar a cabo, una organización puede elegir recursos internos con las habilidades adecuadas para cumplir con el requisito porque los recursos internos son generalmente menos costosos que los recursos externos. Si los recursos internos no tienen las habilidades/herramientas necesarias (por ejemplo, pruebas de penetración o piratería ética) y no pueden proporcionar la seguridad requerida, entonces se deben contratar recursos externos, independientemente de los costos relativamente más altos involucrados.

Conclusión

Al examinar los roles y objetivos de las tres líneas de defensa que cubren aseguramiento, gobernabilidad, riesgo, cumplimiento, seguridad de la información y ciberseguridad, puede haber actividades comunes o superpuestas. Una estructura de organización jerárquica puede reducir la posibilidad de tareas/actividades duplicadas entre funciones o equipos porque cada equipo es más consciente del rol y las actividades de los otros equipos dentro de la estructura jerárquica. Otra forma de optimizar los resultados y ahorrar recursos y costos para la organización es compartir insumos, procesamiento y resultados de diversas funciones y equipos comerciales (incluida la producción de organizaciones públicas u organizaciones sin fines de lucro de toda la industria y del país), que pueden utilizarse para optimizar las actividades de cada función.

Sin embargo, la función de aseguramiento solo puede ser entregada por partes independientes, como el equipo de auditoría interna y los proveedores externos. Los recursos internos serían menos costosos que los recursos externos, pero es posible que los primeros no tengan los recursos necesarios para llevar a cabo ciertas tareas. Para estos casos, se pueden requerir proveedores de servicios externos a pesar de los costos relativamente más altos involucrados para garantizar que se brinde la garantía requerida.

Nota del autor

Las opiniones expresadas en este artículo son del autor y no representan necesariamente las opiniones de Citibank.

Notas finales

¹ Lainhart, J W.; Z. Fu; C. Ballister; “Holistic IT Governance, Risk Management, Security and Privacy: Needed for Effective Implementation and Continuous Improvement,” ISACA Journal, vol. 5, 2016, www.isaca.org/resources/isaca-journal/issues
² The Institute of Internal Auditors, “Supplemental Guidance, Model Internal Audit Activity Charter,” 2017
³ Schwartz, M.; “Bangladesh Bank Hackers Steal $100 Million,” Bank Info Security, 10 March 2016, https://www.bankinfosecurity.com/bangladesh-bank-hacers-steal-100-million-a-8958
⁴ National Cyber Security Centre, Cyber Security Information Sharing Partnership, 20 March 2018, https://www.ncsc.gov.uk/cisp
⁵ Asia Pacific Computer Emergency Response Team, https://www.apcert.org
⁶ Coderre, D.; “Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment,” The Institute of Internal Auditors, 2005, https://www.iia.nl/SiteFiles/IIA_leden/Praktijkgidsen/GTAG3.pdf